Zso*_*tka 3 amazon-ec2 amazon-web-services aws-security-group aws-networking
我目前正在学习AWS 认证解决方案架构师 - 助理 (SAA-C02) Linkedin 学习课程,但遇到了一些关于安全组的令人困惑的问题。在讲座中,讲师表示,使用安全组时:
我们在决定是否允许流量之前评估所有规则
与 NACL 的工作方式相反,NACL 一旦规则匹配就停止处理。
但在讲座结束时,总结如下:
确保规则顺序正确非常重要,否则将无法实现所需的权限
我不明白这一点。如果所有规则都被评估,那么为什么它们的顺序很重要呢?此外,安全组仅支持允许规则。不存在一条规则允许流量而另一条规则拒绝流量的情况。
一个资源上可以有多个安全组。评估安全组时,如果任何安全组规则允许访问,则允许访问。如果没有安全组规则允许访问,则访问被拒绝。
一个子网上只有一个网络访问控制列表 (NACL)。评估 NACL 时,将按顺序评估规则。有一个默认规则是最后评估的,它确定默认规则是“允许”还是“拒绝”。
我同意你的观点,讲师的说法似乎不准确。